PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : LDAP-->Berechtigungen



fs-codez
03.02.09, 17:26
Hallo,

wir möchten unsere Linuxserver an eine Active Directory anbinden, dies funktioniert mit LDAP wunderbar, Anmeldungen sind möglich usw.
Aber nun stehe ich vor dem Problem Berechtigungen zu setzen. Die User (alles Admins) müssen configs ändern und Dienste durchstarten dürfen. Leider reicht es nicht aus die User in die Root-Gruppe einzubinden :(
Ein Stickybit auf alles zu setzen ist ja auch blödsinn...

Ziel der Anbindung war eigentlich nur named-user zuverwenden....

Habt ihr eine Idee wie man diese Berechtigungs-Zwickmühle lösen kann?

Danke!

cane
03.02.09, 22:24
Aus deinem Post lässt sich nicht ableiten was Du zu tun gedenkst.

Beschreibe dein Problem im Detail, inklusive Angabe der Kommandos die nicht funktionieren und der exakten Fehlermeldung.

mfg
cane

Dellerium
04.02.09, 09:04
Es hat den Eindruck, als wollte quasi eine ganze Reihe von Usern, die root Rechte haben (halt Admins), sich aber nicht als root sondern mit ihrem Userkonto am Server anmelden. Vermutlich um nachvollziehen zu können, welche User zu welchem Zeitpunkt etwas gemacht hat...

fs-codez
04.02.09, 11:11
Es hat den Eindruck, als wollte quasi eine ganze Reihe von Usern, die root Rechte haben (halt Admins), sich aber nicht als root sondern mit ihrem Userkonto am Server anmelden. Vermutlich um nachvollziehen zu können, welche User zu welchem Zeitpunkt etwas gemacht hat...

ganau das erfasst es :)

Ich habe mir nun überlegt das ich einfach zu der AD Gruppe noch eine lokale Anmelde und diese dann in das SUDOERS-File schreibe...so habe ich named-Accounts und für einzelne Befehle root Rechte.
Wenn ihr bessere Ideen habt bin ich dafür gerne offen :)

@cane:
alle Befehle aufzulisten die gebraucht werden ist vlt. ein wenig viel...es geht vorallem um die Dienste(restart, status), Prozessmanagement, Konfigurationen


Nun stehe ich leider auch vor einem riesen Problem-->Logging -.-

"script" funktioniert ja soweit super, aber sobald man eine config in vi öffnet oder andere bildschirmmanipulierende Programme startet ist ein riesiger Teil des logs pfutsch. Als zweites habe ich mir die .bash_history angeschaut, eigentlich genau das was ich brauche, HISTTEIMEFORMAT setzten und super :) aber ich bekomme es einfach nicht so hingebogen, dass er mir nur neue Zeilen ins log schreibt, oder zumindest erstmal die .bash_history vernünftig mit aktuellen Werten füllt (history-a n w getestet). Habt ihr dafür eine fertige Lösung, oder ein paar Tipps für mich?